آشنایی با: (ظرف عسل)Honeypot گردآورنده: Sabo3eur با تشکر ویژه از: مصطفی Honeypot | ظرف عسل در واژگان کامپیوتر Honeypot یا ظرف عسل تله ای است برای شناسایی و گیج کردن یا به عبارت دیگر خنثی کردن تلاش هایی برای دسترسی به سیستم های اطلاعاتی! به طور کلی Honeypot از یک کامپیوتر، اطلاعات و شبکه ای که به نظر می آید قسمتی از شبکه اصلی است، تشکیل شده است در حالی که کاملا مجزا، حفاظت شده و در حال مانیتورینگ هست و اینطور به نظر یک هکر میرسد که دارای اطلاعات و منابع ارزشمندی است. Honeypot ها مانند یک ابزار مراقب و هشداردهنده ی زود هنگام ارزشمند هستند. در حالی که بیشتر اوقات Honeypot یک کامپیوتر است. میتواند وظایف دیگری را هم به عهده بگیرد. مثلا به عنوان فایل ها، اطلاعات ثبت شده یا حتی یک IP آدرس های استفاده نشده. یک Honeypot که به عنوان Open Proxy در می آید تا افرادی را که در حال استفاده از شبکه هستند را مانیتور و اعمال آن ها را ثبت کند، "نیشکر" (Sugarcane) نامیده میشود. Honeypot ها نباید هیچ ارزشی داشته باشند از این رو نباید به ترافیک واقعی دسترسی داشته باشند زیرا هر چیزی که آن ها دریافت میکنند خطرناک و مضر است. یک استفاده عملی از Honeypot، این است که میتوان آن ها را برای مسدود کردن اسپم ها به کار برد. به طوری که از Honeypot میتوان به عنوان سیستمی که مورد سو استفاده اسپمر ها قرار گرفته استفاده کرد. این Honeypots ها اسپم ها را با دقت کامل دسته بندی میکنند. Honeypot ممکن است امنیت شبکه را به خطر بیندازد و باید به دقت از آن ها استفاده شود در غیر این صورت یک نفوذگر میتواند از آن ها برای حمله به یک سیستم استفاده کند. هاست های قربانی که برای Honeypot ها استفاده میشوند، شبکه های ضد نفوذ هستند که نرم افزار های خاصی رو آن ها نصب میشود. و این طور طراحی شده اند که آسیب پذیر و ارزشمند نمایش داده شوند. در واقع این نرم افزار ها مصنوعی هستند و طراحی آن ها طوری است که باعث تحریک نفوذگر برای حمله به آنان میشود این نرم افزار ها با دو هدف بر روی هاست نصب میشوند: • اول اینکه این نرم افزار ها نفوذگر را سرگرم جستجو برای اطلاعات ارزشمندی میکنند که اصلا وجود ندارند یا به عبارت دیر آن ها مشغول قسمتی از شبکه میکنند که اصلا اهمیت و ارزشی ندارد. این استراتژی فریبانه بر این پایه طراحی شده که نفوذگر را کسل نمیکند یعنی اطلاعاتی به او داده میشود که باعث میشود بیشتر به جستجو بپردازد در واقع این عمل باعث میشود که نفوذگر به سیستم های امنیتی واقعی حمله نکند • هدف دوم جمع آوری اطلاعات است، یعنی با ثبت اعمال یک نفوذگر میتوان با توجه به روش هایی که وی به کار میگیرد پیشگیری های لازم را انجام داد و از آسیب پذیری شبکه های اصلی کاست. انواع Honeypot ها Honeypot ها را میتوان بر اساس میزان گسترش آن ها و میزان دخالت آن ها دسته بندی کرد بر اساس میزان دخالت Honeypot ها به دو دسته دسته تقسیم میشوند: • Honeypot های تولیداتی • Honeypot های تحقیقاتی Honeypot های تولیداتی این نوع Honeypot ها به آسانی استفاده میشوند، اطلاعات محدودی را ثبت میکنند و اصولا توسط شرکت ها و موسسه ها استفاده میشوند. این نوع Honeypot های در داخل شبکه هایی به همراه سرور های دیگر یک سازمان نصب میشوند تا میزان امنیت آن ها را افزایش دهد. معمولا Honeypot های تولیداتی به عنوان " Honeypot های کم واکنش" شناخته میشوند که به آسانی میتوان آن ها را گسترش داد در حالی که اطلاعات کمتری از یک نفوذ یا نفوذگر نسبت به Honeypot های تحقیقاتی میدهند. • هدف ایجاد Honeypot های تولیداتی برای کاهش دادن ریسک امنیتی در یک سازمان است. این Honeypot ها به اقدامات پیشگیرانه ی یک سازمان ارزش می بخشند Honeypot های تحقیقاتی Honeypot های تحقیقاتی به صورت داوطلبانه اجرا میشوند. مثلا توسط گروه های تحقیقاتی یا موسساتی که میخواهند به روش ها و حرکات یک نفوذگر حرفه ای پی ببرند • این نوع Honeypot های برای مطالعه بر روی حملات استفاده میشوند و اطلاعاتی که به دست می آید بدین منظور است که بتوان راهی را برای مقابله با این حملات پیدا کرد. • گسترش Honeypot های تحقیقاتی بسیار پیچیده است، در حالی که اطلاعات زیادی را دریافت میکنند و اصولا برای تحقیقات، موارد نظامی و امنیت سازمان های دولتی استفاده میشود. Honeypot های دیتابیس دیتابیس ها بیشتر اوقات توسط هکر ها با استفاده از SQL Injection مورد حمله قرار میگیرند. بخاطر اینکه این نوع حملات توسط فایروال های ساده شناسایی نمیشوند، سازمان ها از فایروال های مختص دیتابیس استفاده میکنند Honeypot در این فایروال ها مورد استفاده قرار میگیرد به طوری که یک هکر حمله خود را آغاز میکند در حالی که دیتابیس به کار خود ادامه میدهد. در مبحث Honeypot ها سیستم هایی هستند که اقدام به شناسایی Honeypot میکنند که معمولا توسط اسپمر ها ایجاد میشود و به نوعی بر ضد Honeypot ها هستند. این سیستم ها با استفاده از ویژگی هایی که هر honeypot دارد آن ها را شناسایی میکنند. ولی داشتن یک Honeypot که با آسانی شناخته میشود هم مزیت هایی دارد تا آنجا که "فرد کوهن" میگوید هر سیستمی که Honeypot را اجرا میکند باید یک پورت تقلبی داشته باشد که مزاحم ها از آن برای شناسایی Honeypot استفاده کنند. کوهن بر این باور است که این عمل میتواند مزاحمان را باز دارد یا به عبارت دیگر بترساند. Honeynet ها دو یا چند Honeypot در یک شبکه Honeynet را تشکیل میدهند. Honeynet ها برای ماتورینگ شبکه های بزرگ تر یا متنوع تر به کار میرود که یک Honeypot ممکن است کافی نباشد. Honeypot ها و honeynet ها معمولا در کنار "سیستم های تشخیص حمله" بزرگتر اجرا میشوند. ولی اصطلاح دیگری به نام Honeyfarm وجود دارد که یک مجموعه متمرکز از Honeypot ها و ابزارهای آنالیز هستند. به یاد داشته باشید که Honeynet ها شبکه ای از Honeypot های پرواکنش هستند مقاله آشنایی با Honeypot یا ظرف عسل گردآورنده: Sabo3eur با تشکر ویژه از : مصطفی